CA Veracode: l’88 per cento delle app Java è esposto ad attacchi

Veracode, Inc., azienda leader nella sicurezza del software recentemente acquisita da CA Technologies , ha diffuso i risultati dello studio 2017 State of Software Security Report, un’analisi dettagliata dei dati relativi ai test sulla sicurezza delle applicazioni dagli scanning eseguiti dagli oltre 1.400 clienti CA Veracode. Oltre ai vari trend di settore come i tassi di correzione delle vulnerabilità e la percentuale di applicazioni soggette a vulnerabilità, lo studio evidenzia il rischio molto esteso rappresentato dalla vulnerabilità dei componenti open source. Lo studio condotto da CA Veracode ha infatti rilevato che l’88% delle applicazioni Java contiene almeno un componente vulnerabile che le rende suscettibili ad attacchi di vaste proporzioni. In parte questo è dovuto al fatto che il 28% delle aziende esegue regolarmente analisi al fine di comprendere quali sono i componenti presenti all’interno delle loro applicazioni.

“L’impiego universale di componenti per lo sviluppo applicativo implica che, quando emerge una vulnerabilità a carico di un componente, essa può potenzialmente interessare migliaia di applicazioni – rendendone molte passibili di violazione con un unico exploit,” ha dichiarato Chris Wysopal, CTO di CA Veracode.

Nel corso degli ultimi dodici mesi, numerose violazioni ad alta visibilità nelle applicazioni Java sono state provocate da vulnerabilità diffuse nei componenti commerciali o open source. Un esempio di vulnerabilità di vaste proporzioni a livello di componenti è stato “Struts-Shock”, scoperto nel marzo 2017. Secondo questa analisi, il 68% delle applicazioni Java che utilizzavano la libreria Apache Struts 2 usava ancora una versione vulnerabile del componente nelle settimane successive ai primi attacchi.

Questa vulnerabilità critica presente nella libreria Apache Struts 2 ha reso possibili degli attacchi Remote Code Execution (RCE) basati sull’iniezione di comandi, ai quali sono risultati vulnerabili fino a 35 milioni di siti. Sfruttando questa pervasiva vulnerabilità, i cyber criminali sono riusciti a colpire svariate applicazioni delle vittime, fra cui l’Agenzia canadese delle Entrate e l’Università del Delaware.

Il report “2017 State of Software Security” ha inoltre rivelato che circa il 53,3% delle applicazioni Java si fonda su una versione vulnerabile dei componenti Commons Collections. Ancora oggi è in uso lo stesso numero di applicazioni che utilizzavano la versione vulnerabile del 2016. L’impiego di componenti per lo sviluppo applicativo è un pratica diffusa in quanto consente agli sviluppatori di riutilizzare codice funzionale, accelerando il rilascio del software. Gli studi mostrano che fino al 75% del codice di una tipica applicazione è costituto da componenti open source.

“I team addetti allo sviluppo non smetteranno certo di utilizzare i componenti, ed è giusto che sia così,” ha continuato Chris Wysopal. “Quando però compare un exploit, il fattore tempo è fondamentale. I componenti open source e di terze parti non sono necessariamente meno sicuri del codice sviluppato in casa, ma è essenziale mantenere un inventario aggiornato delle versioni utilizzate per ogni componente. Abbiamo già assistito a un certo numero di violazioni derivanti dalla presenza di componenti vulnerabili perciò prevedo che, se le aziende non inizieranno a prendere più sul serio questa minaccia e a usare appositi tool per monitorare l’utilizzo dei componenti, il problema non potrà che peggiorare”.

L’utilizzo di componenti vulnerabili è fra le tendenze più preoccupanti a carico della sicurezza delle applicazioni rilevate nel rapporto “State of Software Security”. Ad esempio, secondo quanto rilevato dallo studio di CA Veracode, mentre molte organizzazioni si concentrano sulla risoluzione delle vulnerabilità più pericolose, alcune hanno ancora difficoltà a correggere in modo efficiente i difetti del software. Anche gli errori più gravi necessitano di molto  tempo per la loro correzione (l’analisi indica che solo il 22% dei difetti di elevata gravità è stato risolto in meno di 30 giorni) e la maggior parte degli aggressori sfrutta le vulnerabilità nel giro di pochi giorni dalla loro scoperta. Gli hacker e le organizzazioni degli stati-nazione dispongono di tempo abbondante per la potenziale infiltrazione di una rete aziendale.

Lo studio di CA Veracode ha anche scoperto che:

• Le vulnerabilità continuano a emergere a tassi allarmanti nel software precedentemente non testato. Il 77% delle app presenta almeno una vulnerabilità in sede di prima scansione.
• Le organizzazioni governative continuano a mostrare risultati inferiori a quelli di altri settori: non soltanto hanno segnato un tasso di superamento del test del 24,7% nell’ultimo scanning, ma hanno anche registrato la più alta prevalenza di vulnerabilità altamente sfruttabili quali cross-site scripting (49%) e SQL injection (32%).
• Come metro di paragone, fra la prima e l’ultima scansione, il settore delle infrastrutture critiche ha registrato il tasso OWASP più alto (29,8%) fra tutti i settori studiati, pur avendo accusato una lieve flessione (29,5%) in occasione dell’ultima scansione. I due settori che hanno registrato lievi miglioramenti tra la prima e l’ultima scansione sono stati la sanità (27,6% vs. 30,2%) e la GDO/ricettività (26,2% vs. 28,5%).

La versione integrale del Report 2017 State of Software Security, è disponibile a questo link.